查询告警索引
编辑查询告警索引
编辑本页介绍如何查询告警索引,例如,在构建规则查询、自定义仪表板或可视化时。有关告警事件字段定义的更多信息,请查看告警模式。
告警索引别名
编辑我们建议查询以下索引别名
- 如果您使用的是 8.0.0 或更高版本:
.alerts-security.alerts-<空间 ID>这个别名包含旧的(8.0.0 之前的)和新的告警索引。 - 如果您使用的是 8.0.0 之前的版本:
.siem-signals-<空间 ID>查询此别名无论您的 Elastic Stack 版本如何都将起作用,但不会遵循较新的.alerts命名约定,并且在未来版本中可能会被弃用。
无论您查询哪个别名,都不应在空间 ID 后包含破折号或通配符。要查询所有空间,请使用以下语法:.alerts-security.alerts-* 或 .siem-signals-*。
告警索引
编辑为了提供更多上下文,告警事件存储在隐藏的 Elasticsearch 索引中。我们不建议直接查询它们。这些索引及其别名的命名约定取决于您运行的 Elastic Stack 版本
-
8.0.0 或更高版本:
.internal.alerts-security.alerts-<空间 ID>-NNNNNN,其中NNNNNN是一个随着时间推移而增加的数字,从 000001 开始。 -
8.0.0 之前:
.siem-signals-<空间 ID>-NNNNNN,其中NNNNNN是一个随着时间推移而增加的数字,从 000001 开始。